将列表值作为变量发布

时间:2013-03-16 21:33:31

标签: php mysql

我目前正在尝试创建一个图库上传页面,该页面允许用户选择相册以及相册ID,即下拉菜单中的值。在选择他们选择的相册时,然后上传图像并将图像URL,ID,日期和相册等数据添加到表格中。虽然我在下拉菜单中发布用户定义的值时遇到了问题,但我已经设法进入将相册ID添加到我的表格的阶段。

上传图片时收到此错误:

  

无法运行查询:您的SQL语法出错;检查   手册,对应右边的MySQL服务器版本   在第1行'[album]'附近使用的语法

任何帮助都会非常感激,因为MySQL并不是我熟悉的领域,谢谢:)!

我的表格:

<form action="assets/includes/upload.php" method="post" enctype="multipart/form-data">
    <select name="album">
         <? uploadList(); ?>
    </select><br>
    <input type="file" name="file" id="file" style="margin-top:37px; margin-left: 3px;"><br>
    <input type="submit" name="submit" value="Submit" class="btn btn-primary" style="margin-left: 57px;">
</form>

在upload.php页面上执行的功能:

function imageUpload() {
$id = ('$_POST[album]'); /////////// Focus being on this section ///////////        
$con = mysql_connect("localhost","$username","$password");
mysql_select_db("$dbname", $con);
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
    $query2 = mysql_query("SELECT id,title,date FROM galleries WHERE id = $id");
    if (!$query2) {
        echo 'Could not run query: ' . mysql_error();
        exit;
    }
 $row = mysql_fetch_row($query2);
$allowedExts = array("jpg", "jpeg", "gif", "png");
$extension = end(explode(".", $_FILES["file"]["name"]));
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/png")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& in_array($extension, $allowedExts))
  {
  if ($_FILES["file"]["error"] > 0)
    {
    echo "Return Code: " . $_FILES["file"]["error"] . "<br>";
    }
  else
    {
    echo "Upload: " . $_FILES["file"]["name"] . "<br>";
    echo "Type: " . $_FILES["file"]["type"] . "<br>";
    echo "Size: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
    echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br>";

    if (file_exists("../../images/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      $file = $_FILES["file"]["name"];
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "../../images/" . $_FILES["file"]["name"]);
      $sql="INSERT INTO images (url, gallery)
        VALUES
      ('$file','$id')";

if (!mysql_query($sql,$con))
  {
  die('Error: ' . mysql_error());
  }
      }
    }
  }
else
  {
  echo "Invalid file";
  }

}

1 个答案:

答案 0 :(得分:1)

在PHP的第二行,您有$id = ('$_POST[album]');。这里发生的事情只是用文字字符串$id“填充”'$_POST[album]'。您需要将其更改为:

$id = intval($_POST['album']);

现在,您正在从global $_POST array中读取album的值。

请注意,您的代码容易受SQL Injection攻击,请访问appropriate measures to mitigate it。在您阅读有关该主题的更多信息时,我为您添加了intval()作为基本保护。

相关问题
最新问题